Modifica

Condividi tramite

Rimuovere le assegnazioni di ruolo di Azure

  • Procedure

Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione che si usa per gestire l'accesso alle risorse di Azure. Per rimuovere l'accesso da una risorsa di Azure, rimuovere un'assegnazione di ruolo. Questo articolo descrive come rimuovere le assegnazioni di ruoli usando le portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure e l'API REST.

Prerequisiti

Per rimuovere le assegnazioni di ruolo, è necessario disporre di:

Per l'API REST, è necessario usare la versione seguente:

  • 2015-07-01 o versioni successive

Per altre informazioni, vedere Versioni API delle API REST di Controllo degli accessi in base al ruolo di Azure.

Portale di Azure

Seguire questa procedura:

  1. Aprire Controllo di accesso (IAM) sull'ambito, come gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa, in cui si intende rimuovere l'accesso.

  2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

  3. Nell'elenco delle assegnazioni di ruolo aggiungere un segno di spunta accanto all'entità di sicurezza con l'assegnazione di ruolo che si vuole rimuovere.

    Screenshot dell'assegnazione di ruolo selezionata per essere rimossa.

  4. Fare clic su Rimuovi.

    Screenshot del messaggio di rimozione dell'assegnazione di ruolo.

  5. Nella finestra con il messaggio di rimozione dell'assegnazione di ruolo fare clic su .

    Se viene visualizzato un messaggio che indica che le assegnazioni di ruolo ereditate non possono essere rimosse, si sta tentando di rimuovere un'assegnazione di ruolo in un ambito figlio. È consigliabile aprire Controllo di accesso (IAM) nell'ambito in cui è stato assegnato il ruolo e riprovare. Un modo rapido per aprire Controllo di accesso (IAM) nell'ambito corretto consiste nell'esaminare la colonna Ambito e fare clic sul collegamento accanto a (Ereditato).

    Screenshot della rimozione del messaggio di assegnazione di ruolo per le assegnazioni di ruolo ereditate.

Azure PowerShell

In Azure PowerShell si rimuove un'assegnazione di ruolo usando Remove-AzRoleAssignment.

Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :

PS C:\> Remove-AzRoleAssignment -SignInName patlong@contoso.com `
-RoleDefinitionName "Virtual Machine Contributor" `
-ResourceGroupName pharma-sales

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

PS C:\> Remove-AzRoleAssignment -ObjectId 22222222-2222-2222-2222-222222222222 `
-RoleDefinitionName "Reader" `
-Scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

PS C:\> Remove-AzRoleAssignment -SignInName alain@example.com `
-RoleDefinitionName "Billing Reader" `
-Scope "/providers/Microsoft.Management/managementGroups/marketing-group"

Removes the User Access Administrator role with ID 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 from the principal with ID 33333333-3333-3333-3333-333333333333 at subscription scope with ID 00000000-0000-0000-0000-000000000000.

PS C:\> Remove-AzRoleAssignment -ObjectId 33333333-3333-3333-3333-333333333333 `
-RoleDefinitionId 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 `
-Scope /subscriptions/00000000-0000-0000-0000-000000000000

If you get the error message: "The provided information does not map to a role assignment", make sure that you also specify the -Scope or -ResourceGroupName parameters. For more information, see Troubleshoot Azure RBAC.

Interfaccia della riga di comando di Azure

Nell'interfaccia della riga di comando di Azure si rimuove un'assegnazione di ruolo usando az role assignment delete.

Nell'esempio seguente viene rimossa l'assegnazione di ruolo Collaboratore macchina virtuale dall'utente patlong@contoso.com nel gruppo di risorse pharma-sales :

az role assignment delete --assignee "patlong@contoso.com" \
--role "Virtual Machine Contributor" \
--resource-group "pharma-sales"

Removes the Reader role from the Ann Mack Team group with ID 22222222-2222-2222-2222-222222222222 at a subscription scope.

az role assignment delete --assignee "22222222-2222-2222-2222-222222222222" \
--role "Reader" \
--scope "/subscriptions/00000000-0000-0000-0000-000000000000"

Removes the Billing Reader role from the alain@example.com user at the management group scope.

az role assignment delete --assignee "alain@example.com" \
--role "Billing Reader" \
--scope "/providers/Microsoft.Management/managementGroups/marketing-group"

API REST

Nell'API REST si rimuove un'assegnazione di ruolo usando Assegnazioni di ruolo - Elimina.

  1. Ottenere l'identificatore di assegnazione di ruolo (GUID). Questo identificatore viene restituito quando si crea l'assegnazione di ruolo per la prima volta oppure è possibile ottenerlo elencando le assegnazioni di ruolo.

  2. Iniziare con la richiesta seguente:

    DELETE https://management.azure.com/{scope}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}?api-version=2022-04-01

  3. All'interno dell'URI sostituire {scope} con l'ambito per la rimozione dell'assegnazione di ruolo.

    Ambito Type
    providers/Microsoft.Management/managementGroups/{groupId1} Gruppo di gestione
    subscriptions/{subscriptionId1} Subscription
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1 Gruppo di risorse
    subscriptions/{subscriptionId1}/resourceGroups/myresourcegroup1/providers/microsoft.web/sites/mysite1 Conto risorse

  4. Sostituire {roleAssignmentId} con l'identificatore GUID dell'assegnazione di ruolo.

    La richiesta seguente rimuove l'assegnazione di ruolo specificata nell'ambito della sottoscrizione:

    DELETE https://management.azure.com/subscriptions/{subscriptionId1}/providers/microsoft.authorization/roleassignments/{roleAssignmentId1}?api-version=2022-04-01

    Il testo seguente è un esempio di output:

    {
    "properties": {
        "roleDefinitionId": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
        "principalId": "{objectId1}",
        "principalType": "User",
        "scope": "/subscriptions/{subscriptionId1}",
        "condition": null,
        "conditionVersion": null,
        "createdOn": "2022-05-06T23:55:24.5379478Z",
        "updatedOn": "2022-05-06T23:55:24.5379478Z",
        "createdBy": "{createdByObjectId1}",
        "updatedBy": "{updatedByObjectId1}",
        "delegatedManagedIdentityResourceId": null,
        "description": null
    },
    "id": "/subscriptions/{subscriptionId1}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId1}",
    "type": "Microsoft.Authorization/roleAssignments",
    "name": "{roleAssignmentId1}"
}

    Modello ARM

    Non esiste un modo per rimuovere un'assegnazione di ruolo usando un modello di Azure Resource Manager (modello di Resource Manager). Per rimuovere un'assegnazione di ruolo, è necessario usare altri strumenti, ad esempio la portale di Azure, Azure PowerShell, l'interfaccia della riga di comando di Azure o l'API REST.

Contenuto correlato